検出

早期アクセスリリース

検出は、orgを保護する一環としてOktaが監視できるセキュリティリスクです。これには、管理者、ユーザー、またはセキュリティイベントプロバイダーから送信される不審なアクティビティに関するレポートが含まれます。それ以外のアクティビティは、orgの監視中に不審なパターンが検出された場合にOktaが生成するものです。

検出は、エンティティリスクポリシールールの構成時に選択できます。選択した検出をOktaが見つけた場合、表の[推奨アクション]列に示されるアクションに従って修正できます。これらのアクションは、それぞれの状況に応じてOktaが推奨するアクションです。それらのアクションを実装する前に、それがorgに適していることを確認してください。

リスクレベルを選択することもできます。選択できるリスクレベルは、選択した検出で使用可能なもののみです。エンティティリスクポリシールールを構成するときは、表を参照して検出を探した上で、使用可能なリスクレベルを選択します。

エンティティリスクポリシールールを追加する」を参照してください。

名称 説明

使用可能リスクレベル

推奨アクション

ユーザーが報告した不審なアクティビティ Oktaが生成するセキュリティ通知メールに対応して、またはOkta End-User Dashboard[最近のアクティビティ]ページで[Report(レポート)]をクリックしてユーザーがインシデントを報告しました。 ユニバーサルログアウト。「ユニバーサルログアウトを構成する」を参照してください。
ユーザーリスクに影響したセッション セッションコンテキスト内の変化により、エンティティリスクレベルが変更されました。この検出は、セッションリスクレベルが高の場合にのみ生じます。
  • 対応なし
  • 委任Workflowを実行
ブルートフォース攻撃の可能性 Oktaがブルートフォース攻撃の兆候を検出しました。 調査を開始するようにセキュリティオペレーションセンター(SOC)チームに通知する委任Workflowを実行
Okta Threat Intelligence Okta Threat Intelligenceが不審な行動の可能性を検出しました。
  • ユニバーサルログアウト。「ユニバーサルログアウトを構成する」を参照してください。
  • パスワードの変更を強制
  • Authenticatorへの再登録を強制
  • 調査を開始するようにSOCチームに通知する委任Workflowを実行
管理者が報告したユーザーリスク 管理者がエンティティリスクレベルを高に変更しました。

ユニバーサルログアウト。「ユニバーサルログアウトを構成する」を参照してください。
高脅威IPからのエンティティの重大アクション 高脅威IPアドレスからの不審な行動をOktaが検出しました。 ユニバーサルログアウト。「ユニバーサルログアウトを構成する」を参照してください。
セキュリティイベントプロバイダーが報告したリスク セキュリティイベントプロバイダーがリスクレベルイベントを報告しました。

  • 対応なし
  • 委任Workflowを実行
不審なアプリアクセス アプリへの不審なアクセス試行をOktaが検出しました。
  • 対応なし
  • 調査を開始するようにSOCチームに通知する委任Workflowを実行

検出の種類

データ主導のOktaリスクエンジンは、Identity Threat Protectionを使って3種類のリスクを計算し、低/中/高のレベルを割り当てます。

ログインリスク

ユーザーがorgにサインインできるのは、ログインリスクを識別するためのorgのグローバルセッションポリシー内のルールに照らしてOktaがサインイン試行を評価した後となります。評価では、前回のサインイン以降にユーザーの行動やデバイス情報に変化があったかどうかが決定され、悪意のあるIPアドレスからのリクエストであるかどうかが決定されます。その上で、Oktaはログインリスクレベルを計算します。Oktaがログインリスクを計算するたびに、user.session.startイベントとpolicy.evaluate_sign_onイベントがSystem Logに記録されます。

セッションリスク

ユーザーのセッション中は、orgの認証ポリシーとリスクインジケーターが継続的に評価され、セッションリスクレベルが計算されます。このレベルは、ユーザーのセッションが侵害されている可能性を決定します。中または高のセッションリスクレベルは、ブルートフォース攻撃または不審なアプリアクセスを示している可能性があります。いずれかのセキュリティイベントプロバイダーがリスクを報告した場合もセッションリスクレベルが計算されます。Oktaがセッションリスクレベルを計算するたびに、user.session.context.changeイベントが[People(ユーザー)][Risk(リスク)]に表示され、System Logに記録されます。

エンティティリスク

エンティティリスクポリシーは、共有信号フレームワーク統合を含むorgのすべての脅威面からの信号を評価し、エンティティリスクレベルを計算します。このレベルは、ユーザーのID侵害の可能性を表します。いずれかのセキュリティイベントプロバイダーがユーザー関連のリスクを報告した場合もエンティティリスクレベルが計算されます。Oktaがエンティティリスクレベルを計算するたびに、user.risk.changeイベントが[People(ユーザー)][Risk(リスク)]に表示され、System Logに記録されます。

関連項目

継続的アクセスを強制する

継続的アクセス違反レポート

Identity Threat Protection with Okta AIのシステムログイベント